[发明专利]一种面向移动应用透明的数据安全保护便携式终端

摘要

本发明提供一种面向移动应用透明的数据安全保护便携式终端，该终端主要分为二个部分数据加解密模块部分，该部分使用TPM(可信赖平台模块)和支持国际标准加密算法的芯片，实现了高速硬件数据加解密运算，通过蓝牙或无线网络向外提供文件加解密服务，同时该部分基于可信计算架构，实现了用户、本发明终端、移动设备的三方可信认证；移动设备客户端部分，该部分基于蓝牙或无线网络调用本发明加解密模块提供的数据加解密服务，同时实现了一个本地的远程文件系统服务，向移动应用提供数据文件存取服务，存储的数据由该部分调用加解密服务予以加密，取出的数据则由该部分予以解密，从而实现了面向移动应用的透明加解密。

主权项

一种面向移动应用透明的数据安全保护便携式终端，其特征在于：包括二个部分，一部分是加解密模块，另一部分是位于移动设备的客户端组件；实现基于可信计算的三方身份认证，所述三方为用户身份、移动设备和加解密模块；具体认证方法如下：（1）加解密模块加电自检，通过自检后，开启认证服务端口，等待客户端组件认证；（2）客户端组件启动，要求用户输入认证密码，同时收集移动设备核心部件ID标识，组成移动设备认证信息块，与用户认证密码、认证时间戳、随机数合并形成认证请求数据块；再使用客户端组件初始化时获取的终端模块的TPM公钥予以加密，发送至加解密模块认证服务端口；（3）加解密模块接收到认证请求数据块后，使用TPM私钥予以解密，并获取初始化时设置的用户密码和设备核心部件ID标识，与解密后的认证请求数据块中的用户认证密码和设备核心部件ID标识进行对比，无误后，更新当前客户端时间戳，并将认证时间戳与随机数使用TPM私钥加密后发回客户端组件；（4）客户端组件接受到加密后的认证返回信息后，使用TPM公钥进行解密，核对随机数与时间戳无误后，完成用户身份、移动设备、加解密模块的可信三方认证，启动客户端组件的本地远程文件系统服务，实现移动设备本地的应用访问由客户端组件加密的文件，具体步骤如下：步骤1、客户端组件响应移动应用发送的远程文件访问请求，查询其远程文件系统服务中是否存在有被请求的文件，若有，则将远程文件访问请求暂时挂起；步骤2、客户端组件扫描被请求文件的加密头、加密尾，结合组件存储的移动设备认证信息块，本地时间戳，由加解密模块的TPM公钥加密后，向加解密模块发送文件解密请求；步骤3、加解密模块接受到文件解密请求后，利用自身TPM私钥解密，解密后，先对时间戳进行判断，若本次解密请求与上次解密请求认证时间间隔超过预定值，则再次进行三方身份认证，若否，则对移动设备认证信息块进行认证，认证通过，根据文件加密头信息，在文件加密信息表中查找对应的混沌函数参数；步骤4、加解密模块使用混沌函数参数，实现对加密尾还原，获取其中保存的文件对称加密密钥，向客户端组件发送加密文件解密命令；步骤5、客户端组件在接收到加密文件解密命令后，向加解密模块发送被请求文件，由加解密模块解密后发回；步骤6、客户端组件获得明文后，返回移动应用的远程文件访问请求，在后继应用中将其移动应用对文件的访问重定向到解密后的明文，同时实现对远程文件访问的监控。